root@cyberhats#: cat EzineCyberHats01.txt MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMM/ __ \MMMMM| |MMMMMMMMMMMMMMM| |M| |MMMMM| |MMMMMMMMMMMMMM MMMMMMMMMMMMM| /MM\/MMMMM| |MMMMMMMMMMMMMMM| |M| |MMMMM| |MMMMMMMMMMMMMM MMMMMMMMMMMMM| |MMM| |M| | '_ \M/ _ \ '__|M| _ |/ _` | __/ __|MMMMMMMM MMMMMMMMMMMMM| \MM/\ |M| | |M) | __/ |MMMM| |M| | (M| | |M\__ \MMMMMMMM MMMMMMMMMMMMMM\____/\__, |_.__/M\___|_|MMMM\_|M|_/\__,_|\__|___/MMMMMMMM MMMMMMMMMMMMMMMMMMMMMM/ |MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMM|___/MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMMMMXOxxxxk0KWMXOxxxk0KNMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMWl. ''''''. . ..,:ld0WMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMK. ;:, oWMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMX .:loolc:clc, .NMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMM' .';cloo; .WMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMd dMMMMMMMMMMMMMMMMM MMMMMNOdl;'...XN. ,000OOOOOkkOKWMMMM MMKc. Xl .',,,''''.. .....;xW N; N. .,::;;. ; ' .KMMMWNXKK0Okkxdoolc::;ccc,. .;dN .occllllcccccccc::xKOl' ..';cdONMMMM ..;ldkxoc,.. ,oo; .':odc;. cMMMMMMMMMMMMM . .',,.. .cdo' c0WMMMMMMW0o. ;WMMMMMMMMMMMMM X, .'coo:. .,c:. .:dONNOd:',coxOKNNd dMMMMMMMMMMMMMMM MMXd;. ';' lKWMXKMMMMMMMMMXc :d. . .dWMMMMMMMMMMMMMMMM MMMMMMWKOkxdood; o .. ;KMM0l;:ok0Kd'.. .KMN ,MWXNMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMWo:. :WxWMMWX0WMMMX . .kMx lMMK .MMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMK;.OMMKMXMMKMx; '0o :c. ;MMM; cWMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMM: .O:OllO'Oo'k.cK.xk.oKXW0o,.:kMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMMW; ;ooo:clocdcdlOkMMXkl::oONMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMMMW:.'.loxKKWMMKoc;,;ckXMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMMMMMM: xxxkkkk, lXKWMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMMMMMM0::ccclloo0MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM ======================================================================== Ezine By Sup3rm4n and B4ckd00r - 16 de novembro de 2013 - Brazil ======================================================================== Greatz to Elemento_pcx & s4r4d0 - Fatal Error Crew - 2001 a 2013 ======================================================================== --> Índice =============== 1.1 - Introdução 1.2 - Identificando firewall 1.3 - Identificando portas 1.4 - Algumas portas TCP/UDP e seus serviços 1.5 - Monitoramento de rede 1.6 - Atualizando seu S.O 1.7 - p0f (sniffer) 1.8 - IPTRAF (Sniffer) 1.9 - Wireshark 2.0 - Router e PC 2.1 - Quase acabando a teoria (hehe' 2.2 - Sniffando a rede --> Parte 2 ============== 1.0 - SEGURANÇA P. I 1.1 - FIREWALL 1.2 - wBuilder 1.3 - IPTABLES - Firewall 1.4 - Firewall Cyber Hats versão 1.1 1.5 - Intrusion Detection System (IDS) 1.6 - IDS Snort Para server (WEB) 1.7 - Ficando oculto na internet 1.8 - Como clonar um mac 1.9 - Como mascarar um ip 2.0 - Tunelamento de ips 2.1 - Mandando Emails Anonimamente 2.2 - Protocolo HTTPS 2.3 - Honeypots - O Pote irresistível 2.4 - Honeynet 2.5 - Segurança de Roteadores 2.6 - Monitoramento de rede - Part. II 2.7 Monitoramento de rede - Interface gráfica --> Parte 3 ============= 1.1 - Encriptando dados críticos - Truecrypt 1.2 - Aos Espertinhos,Se liga a PF bateu ai... FUDEU! - Destruindo dados. 1.3 - WIPE 1.4 - Shred 1.5 - Clonagem de cookies 1.6 - Identificando criptografia manualmente - HARDCORE 1.7 - Fim da Ezine Bom galera vamos começar nossa ezine sobre segurança de vossos computadores. Então como todos vocês ja sabem nenhum sistema é totalmente seguro, mas existem aqueles sistemas que são como chamamos no meio hacker de "maquinas blindadas". Estas máquinas possuem softwares que são desenvolvidos especialmente para tais funções como: 1.0 * Filtragem de portas * Filtragem de pacote * Monitoramento real da rede * Monitoramento de tentativas de entrada ou saída de pacotes suspeitos (ICMP) * Entre outras diversas tools que possuem para segurança da informação, a grande maioria delas vem em Open Source (Código aberto) o que facilita muito a vida de programadores e usuários avançados para aperfeiçoar tais sotwares ou scripts . Mas vamos logo ao que interessa,começaremos com uma revisão superficial sobre protocolos de rede e um dos mais importantes para o footprint e o fingerprint o Pacote de requerimento e resposta ICMP. Daqui a pouco você irá descobrir o porque. 1.1 * Pacotes ICMP Bom irei dar uma preve explicação,os pacotes ICMP servem para que haja a comunicação entre dois computadores o esquema é o seguinte: 1º) PC 1 --------ICMP--> rede ---> --> -> PC 2 2º) PC 1 <------icmp-- rede <--- <-- <- PC 2 IP PC1: 155.125.55 IP PC2: 200.84.98 No 1 esquema ocorre o seguinte o PC 1 envia um pacote ICMP "limpo" mas com destino e tamanho pré destinados que este inoculado nas camadas do pacote em forma de IP(endereço) e BYTES(tamanho) ou seja o PC 1 enviou um simples echo request para verificar se o Host (PC 2) estava ativo. Com o sucesso da comunicação o PC dois re-envia o pacote ICMP para o PC1 com os mesmos dados so que de forma invertida ou seja o PC2 vai enviar outro pacote ICMP para o PC1 com tamanho padrão de 64 byts(tamanho padrão),com isto pode-se perceber que o host( PC2) estava ativo pois respondeu ao "chamado" do PC1. Bom,no dia a dia de usuários comuns é assim mas como sempre tem suas excessões existe pessoas chamadas LAMMERS/NOOBIES que fazem o uso deste pacote como meio de escanear computadores mais prescisamente verificar se existe firewall,portas abertas, sistema operacional e/ou topologia da rede.Mas você deve estar se perguntando - Como ocorre por exemplo a identificação do s.o (sistema operacional) ? Muito simples ! A tool possue uma database de qual é o tempo no qual cada sistema operacional leva para re-transmitir o pacote ICMP supondo: Red hat - 1500 ms Backtrack - 2000 ms Arch LInux - 500 ms Através disto a tool faz a comparação do tempo de levou para receber a resposta e compara com o banco de dados fazendo assim uma proporção. ============================== 1.2 *Identificando firewall ============================== Um bom método de identificar firewall é por pacotes ICMP, como a maioria dos admins sabem a principal função dos pacotes ICMP eles criam regras de firewall para que a máquina recuse tais pacotes,vamos fazer um esquema: PC 1 ----> ---> ICMP (64 bytes) --> -> {FIREWALL} PC 2 PC1 xxxxxxx.xxxxxxxxxxxxx.xxxxxxxxxx PC 2 Através deste esquema pode-se notar que quando o pacote chegou no firewall houve o desvio ou o rejeitamento de tais pacotes pela máquina fazendo assim que nada retorne ao atacante,então não terá nada como resposta, nada irá retornar existe 2 hipóteses ou a máquina possue firewall que esta recusando os pacotes ou esta máquina não existe. =========================== 1.3 *Identificando portas =========================== Tambem utiliza-se o pacote ICMP para identificar portas abertas e serviços rodados na máquina,o processo para descobrir as portas abertas em determinadas máquinas é o seguinte: O atacante envia pacotes ICMP's para o alvo (óbvio hehe) mas em vez de ir para um default ou seja ser filtrado pelo firewall ou qualquer outro meio de prevenção pode-se direcionar tais pacotes para quaisquer portas um exemplo: PC 1 ----> ICMP ---> --> -> PC 2 ( p 23) PC 1 <---- ICMP <--- <-- <- PC 2 (p 23 ON !!) Atraves deste esquema concluiu-se que o atacante que era o PC 1 enviou pacotes ICMP para determinada porta do PC 2 um exemplo usei a 23 ( Telnet) o PC 1 então tenta se "conectar" a esta porta, se ela estiver online o pacote ICMP irá voltar pois foi filtrado pela firewall.Mas caso o ICMP voltar em alguns casos significa que a porta esta aberta ou seja o host alvo (PC 2) respondeu ao nosso "chamado" echo request. ============================================= 1.4 *Algumas portas TCP/UDP e seus serviços ============================================= 21 ftp - tranferencia de arquivos 22 ssh - controle remoto de máquinas 23 telnet - controle remoto de máquinas 25 smtp - protocolo email 80 browser - navegação de internet 113 pop3 - protocolo de email 443 https - protocolo de camada de comunicação segura ================================== *139 rpc - protocolo rpc windows * ================================== - esta última porta que destaquei é a porta mais antiga e você só irá vê-la e sistemas totalmente desprotegidos e com windows ( =3 ) bom,se encontrar algum s.o com a porta 139 aberta não perca a oportunidade de invadi-lo pois concerteza o computador possue uma segurança muito ruim.Porque falo isto ? pelo fato de que com um exploit do msfconsole você consegue exploitar esta vuln (dcom). =========================== 1.5 Monitoramento de rede =========================== Este tema é muito importante tanto para a parte de ataque quanto de defesa,existe no mercado atualmente diversas ferramentas e scripts que fazem o monitoramento real das putaria que rola na tua rede (hehe), as tools e snnifers nada mais são do que ferramentas que interceptam o trafego de forma passiva ou seja não irão interferir nos "caminhos",destinos e dados dos pacotes.Bom,a teoria ja foi dada então vamos a prática ! Vou começar citando várias tools, suas funções e resultados tanto do ponto de vista do atacante quanto do ponto de vista do defensor. =========================== 1.6 Atualizando seu S.O =========================== Bom antes de começar a "por a mão na massa" vamos antes atualizar nosso sistema operacional. root@CyberHats:~# apt-get update Após o término executar o outro comando root@CyberHats:~# apt-get upgrade =================== 1.7 p0f (sniffer) =================== root@CyberHats:~# p0f -i wlan0 p0f - passive os fingerprinting utility, version 2.0.8 (C) M. Zalewski , W. Stearns p0f: listening (SYN) on 'wlan0', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'. 585.666.666:47572 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W7:.:?:?] (up: 24 hrs) -> 66.252.2.46:80 (link: ethernet/modem) 585.666.666:47573 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W7:.:?:?] (up: 24 hrs) -> 66.252.2.46:80 (link: ethernet/modem) 585.666.666:46500 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W7:.:?:?] (up: 24 hrs) -> 69.31.76.42:80 (link: ethernet/modem) 585.666.666:55097 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W7:.:?:?] (up: 24 hrs) -> 173.252.100.27:80 (link: ethernet/modem) Bom, vamos parte por parte. 1ª) Logo na inicialização do script pode-se perceber que ele é executado em modo passivo ou seja,este sniffer não interfere no tráfego de sua rede. 2ª) Ele detecta em tempo real a transmissão dos pacotes que estão saindo de seu computador para o meio externo (internet) como pode ver neste exemplo: +++++++++++++++++++++++| 585.666.666:47572 - | -> 66.252.2.46:80 | +++++++++++++++++++++++| O meu ip 585.666.666 (meu PC) estava se comunicando através da porta 47572 com o computador ou servidor de ip 66.252.2.46 na porta 80, como vocês ja sabem que a porta 80 é de browser pode saber que este é o ip do site que estou acessando neste momento pelo meu navegador. ===================== 1.8 IPTRAF (Sniffer) ===================== Bom 1º passo é instalar o iptraf, no caso do ubuntu (backtrack entre outros s.o de pentest). root@CyberHats:~# apt-get install IPTRAF após isto ele irá se instalar automaticamente,para executá-lo basta seguir o seguinte comando: root@CyberHats:~# iptraf -i "wlan0" (entre aspas ["] é para modificar pela sua rede,eth0 ou wlan0) Após isto ele irá começar a rodar em modo passivo (como vimos a definição) não interfere no funcionamento da rede. ================ 1.9 Wireshark ================ Bom pessoal, o wireshark é um sniffer muito conhecido por usuários que praticam o pentest pelo fato de possuir uma interface muito interativa com seu utilizar e ser de fácil compreensão,lógico que o utilizador tem que possuir alguma base sobre protocolos de redes pois este software possue muitas ferramentas e as partes mais avançadas exigem mais conhecimento sobre estruturas de redes,vamos para uma breve explicação sobre ele: 1º Vamos instalar ele root@CyberHats:~# apt-get install wireshark Caso este método não surte efeito ou ocorra algum error pode baixar pelo site oficial. Após baixar ele já cria um atalho na sua barra de menu,bom vamos mecher nele. Uma breve explicação sobre redes: BOm como todos sabem para que haja comunicação entre os computadores existem plataformas de comunicação (avá!!) Estes ligações são proporcionadas através de pacotes que possuem funções e portas especificam em qual ocorre a interação entre Porta e protocolo,exemplo: PC1 (PORTA:22 PROTOCOLO:SSH) -----> COmunicação ---> envio de pacotes --> -> PC2 (PORTA:22 PROTOCOLO:SSH) PC1 (PORTA:80 PROTOCOLO:SOCKET) -----> COmunicação ---> envio de pacotes --> -> PC2 (PORTA:80 PROTOCOLO:SOCKET) Como pode-se perceber ocorre a comunicação de diversos pacote com vários computadores simultanêamentes,mas nenhum pacote interfere no outro,as "linhas" de comunicação ocorrem de forma paralela tendo a base de que cada protocolo interage de forma perfeita com seu meio de entrada e saída (portas). ================= 2.0 Router e PC ================= Os routers são aparelhos que agem de forma inteligente e/ou burra ( oque ocorre com frequência), ele é a ponte para o meio externo que é a internet para que você,usuário tenha acesso a internet que é o meio externo você prescisa estar conectado a um destes aparelhos,ou não (mas não vamos entrar em detalhes). Ou seja,o pc vai ter um ip de conecção e o router outro,vamos ilustrar isto: PC1 (192.168.0.0) --------------------> ROUTER (192.555.0.0) ----------> ***********************> INTERNET / / / / / / / ** PC2 (168.111.111) Oque tentei demonstrar para vocês é que o seu roteador ou quaisquer aparelhos que sirvam de ponte para a conecção com a internet possuem endereços de MAC e de IP diferentes,por isto que ocorre a conecção multipla de diversos pc's, mas depois de diversas conecções fica muito dificil do router aguentar a demanda de pacotes,bytes e portas para abrir com isto pode ocorrer de pane na rede. ==================================== 2.1 Quase acabando a teoria (hehe' ==================================== Brincadeirinha,ja acabei a parte teórica vamos agora para o software. ====================== 2.2 Sniffando a rede ====================== Bom,o primeiro passo agora é ir em start no canto superior esquerdo e selecionar a rede que deseja capturar os pacotes. No meu caso é a eth0 então irei clicar nela e colocar START ! No momento em que você iniciar a captura de pacotes o wireshark entra em modo passivo e se intala como "coletador" de pacotes na passagem do meio interno para o externo que no caso de algumas pessoas é o roteador. Vamos ilustrar este método: PC1 (192.168.0.0) --------------------> ROUTER (192.555.0.0)--|---|----------> ***********************> INTERNET / ----- / | / | / | / / WIRESAHRK / ** PC2 (168.111.111) * O Software como pode-se perceber não influencia em nada no fluxo da rede ele apenas faz uma espécie de leitura das informações dos pacotes. * BOm pessoal,me desculpe mas não é possível eu ensinar o wireshark por completo e sim dar a vocês umas base tanto em redes como neste ótimo software pois sua explicação completa é um tanto qaunto complexa por isto podem utilizar dorks para pesquisar os tutoriais. A Parte mais Sinistra hehe" ==================== 1.0 SEGURANÇA P. I ==================== ============== 1.1 FIREWALL ============== Bom obviamente todos que estão lendo esta ezine devem saber o que é um firewall então vamos pular a parte chata de ter que explicar o que é um firewall os firewalls funcionam de diversas maneiras os mais usados são os firewalls em niveis de pacotes ou em niveis de aplicações é impossivel falar sobre firewalls no linux sem mencionar o iptables. ============= 1.2 wBuilder ============= Toda rede que se preze, precisa de um firewall! E está é uma excelente ferramenta que irá lhe ajudar a criar as definições de segurança. Para os usuários do kernel 2.4 que já estão acostumados a usar o iptables, esta ferramenta vem complementar o trabalho, tornando a criação das regras uma tarefa simples e com uma vantagem, ao criar grupos diferentes que possam utilizar de regras parecidas, você pode usar o mouse para clicar e arrastar, transportando estas definições para outros grupos, tudo isso em um ambiente bem amigável. Para instalar, use o comando: # apt-get install fwbuilder-iptables Para maiores informações, visite o site: http://www.fwbuilder.org/ ======================== 1.3 IPTABLES - Firewall ======================== Bom pessoal,vamos para um famoso filtrador de pacotes mais conhecido como iptables.Estes software desenvolvido sob licença GNU foi criado com o intuito de analisar o header (cabeçalho) dos pacotes que trafegam na sua rede então após ocorrer esta análise o iptables decide quais ações tomar baseando-se em regras e tabelas predestinadas que os usuário ja havia programado na interface de linha de comando (Shell) pelo usuário. Segue um exemplo de script de iptables,para aplicar as seguintes configurações que são fictícias basta escrevê-las no shell do seu sistema (recomendo linux).Não se preoculpe caso não entenda oque esta dizendo,afinal ainda não foi apresentado nenhuma das opções,apenas segue o script para vocês terem uma noção de que um firewall do iptables são linhas de comandos similares a estas: ################################################################## #OBS:CUIDADO! Como em quase todas as linguagens de programação o # #caractere # significa comentar e por isto o interpretador não o # #considera como parte do codigo. # ################################################################## iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A block -j DROP ## Saltar das chains INPUT e FORWARD para a CHAIN block. iptables -A INPUT -j block iptables -A FORWARD -j block Bom como já era de se esperar existem diversas dúvidas,oque é CHAIN, oque significa -A , -m , --state , dentre outras sintaxes. O iptables é dividido em tabelas,o KERNEL linux (que é a parte intermediadora entre o software e o hardware,O NUCLEO do sistema operacional) ja vem como default a tabela "filter" que possue 3 CHAIS (listas de regras): # INPUT -> Entrada de pacotes # OUTPUT -> saída de pacote # FORWARD -> direcionamento de pacotes Exemplo de aplicação das 3 CHAIS citadas acima (sem sintaxez): - Você quer bloquear qualquer entrada de pacote ICMP para deixar seu host um pouco mais invisível;entao usa-se um cancelamento de determinado pacote pela CHAIN "INPUT" que é a CHAIN responsável pela entrada de pacotes. - Caso você não tenha bloqueado a entrada de pacote ICMP e algum host envia um ECHO REQUEST,de forma "biologica" se computador irá responder com um ECHO REPLY ou seja vai entrar um ECHO REQUEST pela CHAIN INPUT e vai sair um ECHO REPLY pela CHAIN OUTPUT.Caso você não deseja que o seu computador não retorne um ECHO REPLY para avisar que esta vivo basta cancelar a saída de pacotes ICMP que é responsável pelo ECHO REPLY e pelo ECHO REQUEST. - Você esta com alguma versão de telnet desatualizada mas seu firewall esta bloqueando o port scanning do atacante,e por isto ele esta jogando as cegas.O Atacante descobre após várias técnicas de scaneamento que você possue um serviço de telnet desatualizado mas ele não descobre a porta e como a telnet por dedault roda na porta 23 ele ira somente rodar o exploit na porta 23 como suposição.Mas se você não possue muito tempo para ficar procurando métodos para atualizar e parar o exploitamento do atacante em seu sistema basta dar um FORWARD na porta 23 para outra porta como a 443 que é o serviço de https (método fictício) o trafeco da porta 23 irá passar pela porta 443 bloqueando o exploit do invasor pois o https é diferente do telnet. Para entender-mos melhor vamos fazer um primeiro gráfico para ilustrar como é o fluxo de pacotes em um computador sem firewall ou seja somente com as regras INPUT e OUTPUT. ENTRADA de pacotes ---------------- \/ SAÍDA | ------------> I.NET | | | | ___\/____ ______________ ___|____ / \ | | / \ | INPUT | -----------------> | COMPUTADOR | --------------------> | OUTPUT | \_________/ |____________| \_______/ # Neste esquema os pacotes seguem o fluxo normal,ou seja os pacote fragmentas com header (cabeçalho incorreto serão aceitos) oque pode ser um técnica de fuzzing que é o envio de pacotes fragmentados para uma máquina sendo que era para esta máquina rejeitá-lo.Assim como excesso de pacotes também serão aceitos causado por um DoS ou um DDoS. Neste próximo diagrama iremos falar de um fluxo de dados em um computador que possue um firewall com FORWAD habilitado: ENTRADA de ________ pacotes / \ SAÍDA ---------------- > ----------------------> | FORWARD | ----------------------------------------------> \/ \________/ SAÍDA | ------------> I.NET | | | | ___\/____ ______________ ___|___ / \ | | / \ | INPUT | -----------------> | COMPUTADOR | -------------------------> | OUTPUT | \_________/ |____________| \_______/ # Neste esquema os pacote seguem o fluxo mas na entrada da rede o FORWAD faz a leitura do header dos pacotes para ver se algum se encaixa na lista de regras determinadas pelo usuário,caso se encaixar como o exemplo do ICMP em vez de ele seguir em INPUT -> passar pela maquina e ir para -> OUTPUT ele cairá deireto no FORWARD e vai ser descartado. Vale lembrar de que não existe somente a tabela filter,mas como o KERNEL a adota como default (padrão) as pessoas se acostumam em usar ela e esqueçem das outras 2,são elas: -> filter: esta tabela é o default se não declarada em nenhuma regra, ou seja, ela permite a filtragem em regras de INPUT (para pacotes destinado a própria máquina), OUTPUT (para pacotes gerados localmente) e FORWARD (qualquer pacote que atravessa o firewall, oriundo de uma máquina e direcionado a outra). -> nat: utilizada quando há NAT ou quando um pacote responsável por criar uma nova conexão é encontrado, ou seja, quando a "dport" (destination port) é diferente dos IPs conhecidos. Exemplo: passagem de dados de uma rede privada para a Internet. Admite as chains PREROUTING (para alterar pacotes recebidos antes do roteamento), OUTPUT (para alterar localmente pacotes gerados antes do roteamento) e POSTROUTING (para mudar o endereço de origem das conexões para algo diferente). -> mangle: serve para especificar ações especiais para o tratamento do tráfego que atravessa os chains. Nesta tabela existem dois chains: PREROUTING e OUTPUT. Opções com o Tipo de Serviço (TOS) são especificadas nesta tabela para classificar e aumentar consideravelmente a velocidade de tráfego considerados em tempo real. --> Como eu disse dentro das TABELAS tem as CHAINS,segue a diferença entra elas: IMPORTÂNTE: ## Primeiramente, os nomes das chains padrão passarão a ser escritos com MAIÚSCULAS em vez de minúsculas, porque as chains INPUT e OUTPUT apenas recebem pacotes destinados localmente e gerados localmente. Antes, essas chains visam todos os pacotes entrando e saindo, respectivamente. ## A flag `-i' agora significa interface de entrada e apenas funciona nas chains INPUT e FORWARD. Regras nas chains FORWARD e OUTPUT que utilizavam `-i' devem ser alteradas para `-o'. ## Portas TCP e UDP agora precisam ser descritas com as opções --source-port ou - sport (ou --destination-port/--dport), que devem se colocadas depois das opções `-p tcp' ou `-p udp', já que essas carregam as extensões TCP ou UDP respectivamente. ## A flag TCP -y agora é --syn, e deve ser posicionada depois de `-p tcp'. ## Finalmente o alvo DENY agora é DROP. ## Zerar chains enquanto listando-as funciona. ## Zerar chains padrão também apaga os contadores de suas políticas. ## Listar as chains também mostra os contadores. ## REJECT e LOG são agora alvos-extensões, ou seja, eles são módulos do KERNEL separados. ## Nomes das chains podem ter até 31 caracteres. ## MASQ agora é MASQUERADE e utiliza uma sintaxe diferente. REDIRECT, embora tenha mantido o nome, também sofreu uma mudança de sintaxe. Veja o NAT HOWTO para mais informações sobre como configurar ambos. ## A opção -o não é mais utilizada para mandar os pacotes para o dispositivo userspace (veja -i acima). Pacotes agora são mandados para o espaço do usuário com o alvo QUEUE. --> Irei passar as sintaxes que são do iptables para gerenciamento das tabelas e regras: -P Define uma regra padrão -A Acrescenta uma nova regra as existentes. Este tem prioridade sobre a -P -D Apaga-se uma regra -L Lista as regras existentes -F Apaga todas as regras -I Insere uma regra nova -h Muito útil, pois mostra a ajuda -R Substitui uma regra -C Faz uma checagem das regras existentes -Z Zera uma regra específica -N Cria uma nova regra com um nome -X Exclui uma regra específica pelo seu nome OBS: Recomento sempre que criar regras de firewall zerá-lo antes de desligar o computador com a sintaxe citada acima como: # iptables -F Logo após isto criei um arquivo de inicialização com as linhas do firewall em bash (basta seguir a instalação do firewall do superman). --> Sintaxes para administração de regas de filtragem de pacotes (tirado de http://www.tccamargo.com/linux/tutoriais/iptables.html) -s : Especifica o origem do pacote. Este pode ser tanto uma rede ou host. Possíveis combinações podem ser: -s 192.168.0.0/255.255.255.0 ou -s 192.168.0.0/24 OBS: No segundo caso estamos especificando a máscara de rede conforme o número de bits 1, por exemplo: Máscara de rede 255.0.0.0 = 8 Máscara de rede 255.255.0.0 = 16 Máscara de rede 255.255.255.0 = 24 No exemplo acima estamos especificando toda uma rede de máscara C, no exemplo abaixo especificamos um host: -s 192.168.30.51/255.255.255.255 ou -s 192.168.30.51 também pode ser assim: -s 192.168.30.51/32 OBS: A máscara em números de bits 1 para host é 32. Podemos especificar assim também: -s www tccamargo.com Podemos especificar qualquer origem também: -s 0.0.0.0/0.0.0.0 ou -s 0/0 -d : Especifica o destino do pacote. A sintaxe é a mesma do -s -p : Protocolo usado na regra. Pode ser tcp, udp, icmp: -p tcp -p udp -p icmp -i : Interface de entrada, ou seja, placa de rede, modem ou interface de conexão que estará recebendo o pacote a ser tratado. -i eth0 -i eth1 -i ppp0 -o : Interface de saída. As sintaxes são as mesmas que -i, sendo que neste caso estará enviando o pacote a ser tratado. ! : Exclui determinado argumento: -i ! eth0 - Refere-se a qualquer interface de entrada exceto a eth0 -s ! 192.168.0.45 – Refere-se a qualquer endereço de entrada exceto o 192.168.0.45 --sport : Refere-se a porta de origem. Este deve vir acompanhado das funções -p tcp e -p udp : -p tcp –sport 80 – Refere-se a porta de origem 80 sob protocolo tcp --dport : Refere-se a porta de destino. Assim como a função –sport, ela trabalha somente com a -p tcp e -p udp. A sintaxe é similar a –sport Através das funções –sport e –dport podemos especificar não só uma porta específica como também um range de portas: --sport 33435:33525 ####################################################################################################### Ações: As ações sempre vem após o parâmetro -j e geralmente são: ACCEPT – Aceita e permite a passagem do pacote. DROP – Não permite a passagem do pacote e abandona-o não dando sinais de recebimento. REJECT – Assim como o DROP, não permite a passagem do pacote, mas envia um aviso ( icmp unreachable ) LOG – Cria um Log referente a regra em /var/log/messages --> Estrutura de uma string de iptables: Com estes fatores podemos criar as nossas regras com a seguinte composição: # iptables -A FORWARD -s 192.168.0.45 -p icmp -j DROP Sendo: -A ( opção ) / FORWARD ( Chain ) / -s 192.168.0.45 -p icmp ( Dados ) -j DROP ( Ação ) ######################################################################################################## --> Métodos para salvar as regras do iptables: Existem dois métodos para salvar as regras criadas pelo iptables: 1 - Salvando as regras Depois das regras prontas podemos salvá-las com este comando: # iptables-save > Para recuperá-las use este comando: # iptables-restore > 2- Criar um script em bash para as regras serem executadas,é muito simples fazer isto basta ir em um editor de textos e colar as suas regras sucessivamentes e salva em .sh; exemplo de nome: FIREWALL.sh Execução do firewall: NO linux ou clique duas vezes em cima do ícone,caso não funcione vá no terminal entre no diretório onde esta o script e digite: #bash nome-do-script.sh Segue abaixo um exemplo de script em bash do iptables: #!/bin/bash #limpando tabelas iptables -F && iptables -X && iptables -t nat -F && iptables -t nat -X && #liberando acesso interno da rede iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT && iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT && iptables -A FORWARD -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT && #compartilhando a web na rede interna iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE && echo 1 > /proc/sys/net/ipv4/ip_forward && # Protecao contra port scanners ocultos iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Bloqueando tracertroute iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP #Protecoes contra ataques iptables -A INPUT -m state --state INVALID -j DROP #termina echo "Iptables Pronto" ############################################################################################### --> Recomendo tambem salvar o script em colocá-lo para iniciar automaticamente na sua máquina,pode fazer isto com as seguintes etapas: 1- Vá no terminal e entre no diretório(/etc/init.d) onde esta o script. 2- Salve no diretório /etc/init.d/"secure.sh" --> "secure.sh" é o nome do script. 3- root@cyberhats:# chmod 755 /etc/init.d/secure =================================== 1.4 Firewall Cyber Hats versão 1.1 =================================== Bom galera eu fiz um simples firewall e vou mandar a source dele aqui pra vcs ele está barrando tudo, se vocẽ for um user que quer ficar protegido com ctz você vai ficar hehe agora se você for um pentester que faz varias invasões precisará fazer algumas modificações simples pra permitir que suas tools rodem sem problemas tipo tu vai precisar colocar regras pra aceitar a porta do metasploit e tal nada dificil de fazer. Vou fazer um simples tuto aqui de como colocar ele na inicialização do teu linux assim toda vez que vc ligar o pc ele vai ativar sozinho ;) 1 - Copie a source dele logo abaixo deste tuto e salve num arquivo de texto como o nome de "firewall" no dir "/etc/init.d" . 2 - Após feito isto digite no terminal : root@cyberhats:# chmod 755 /etc/init.d/firewall 3 - Depois digite no terminal "update-rc.d firewall defaults": root@cyberhats:# update-rc.d firewall defaults Adding system startup for /etc/init.d/firewall ... /etc/rc0.d/K20firewall -> ../init.d/firewall /etc/rc1.d/K20firewall -> ../init.d/firewall /etc/rc6.d/K20firewall -> ../init.d/firewall /etc/rc2.d/S20firewall -> ../init.d/firewall /etc/rc3.d/S20firewall -> ../init.d/firewall /etc/rc4.d/S20firewall -> ../init.d/firewall /etc/rc5.d/S20firewall -> ../init.d/firewall 4 - E agora basta inicar o firewall com o comando "/etc/init.d/firewall start": root@cyberhats:# /etc/init.d/firewall start - Limpando regras : [OK] - Subindo proteção contra ICMP ECHO-REQUEST menssagens enviadas para BROADCAST ou MULTICAST : [OK] - Subindo proteção contra redirecionamento de ICMP request : [OK] - Subindo proteção contra envido de menssagens redirecionadas de ICMP : [OK] - PING : [OK] - Redirecionamento de pacotes : [OK] - SSH : [OK] - Estabilizando conexões : [OK] - Bloqueio de toda conexões : [OK] - Subindo proteção contra ip spoofing : [OK] - Desabilitando envio IPV4 : [OK] - Proteção contra SYN-Flood : [OK] - Loopback : [OK] - Proteção contra scans - [OK] - Proteção contra pacotes de SYN invalidos : [OK] - Proteção contra pacotes de entrada que podem causar perca de dados : [OK] - Proteção contra pacotes XMAS mal formados : [OK] - DNS : [OK] - NTP : [OK] - WHOIS : [OK] - FTP : [OK] - HTTP/HTTPS : [OK] - SMTP : [OK] - POP : [OK] - IMAP : [OK] - Reverse : [OK] - MSF : [OK] - Gerenciamento Do Firewall : [OK] - Firewall [OK] Segue abaixo o source code do firewall: ------------------------------------------------------------------------ #!/bin/sh # Fatal Error & Cyber Hats # By Sup3rm4n # # .88888888:. # 88888888.88888. # .8888888888888888. # 888888888888888888 # 88' _`88'_ `88888 # 88 88 88 88 88888 # 88_88_::_88_:88888 # 88:::,::,:::::8888 # 88`:::::::::'`8888 # .88 `::::' 8:88. # 8888 `8:888. # .8888' `888888. # .8888:.. .::. ...:'8888888:. <--- EI PINGUIN GATINHO, TO AFIM DE TE CONHECER MELHOR... # .8888.' :' `'::`88:88888 --- HAHA GATINHA SO LAMENTO,TU NAO VAI PASSAR DO MEU FIREWALL HEHE. # .8888 ' `.888:8888. # 888:8 . 888:88888 # .888:88 .: 888:88888: # 8888888. :: 88:888888 # `.::.888. :: .88888888 # .::::::.888. :: :::`8888'.:. # ::::::::::.888 ' .:::::::::::: # ::::::::::::.8 ' .:8::::::::::::. # .::::::::::::::. .:888::::::::::::: # :::::::::::::::88:.__..:88888:::::::::::' # `'.:::::::::::88888888888.88:::::::::' # `':::_:' -- '' -'-' `':_::::'` # ############################################################### # # --> LOGS DISPONIVEIS EM: /var/log/firewall # # --> COMANDOS PARA MONITORAR LOGS: tail -f /var/log/messages # # --> Salve em /etc/init.d/firewall # ############################################################### case "$1" in start) # Limpando regras iptables -t filter -F iptables -t filter -X echo - Limpando regras : [OK] # Derruba ICMP ECHO-REQUEST menssagens enviadas para BROADCAST ou MULTICAST echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo - Subindo proteção contra ICMP ECHO-REQUEST menssagens enviadas para BROADCAST ou MULTICAST : [OK] # Proteção contra redirecionamento de icmp request echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo - Subindo proteção contra redirecionamento de ICMP request : [OK] # Não envia menssagens redirecionadas de ICMP echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects echo - Subindo proteção contra envido de menssagens redirecionadas de ICMP : [OK] # ICMP (Ping) iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT echo - PING : [OK] # Pacotes de logs com endreços inexistentes (devido a rotas erradas) em sua rede echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # Ativação do redirecionamento de pacotes (requerido para NAT) echo "1" >/proc/sys/net/ipv4/ip_forward echo - Redirecionamento de pacotes : [OK] # SSH aceito iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT echo - SSH : [OK] # Não quebra conexões estabelecidas iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT echo - Estabilizando conexões : [OK] # Bloquear todas conexões por padrão iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP echo - Bloqueio de toda conexões : [OK] # Proteção contra ip spoofing echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter echo - Subindo proteção contra ip spoofing : [OK] # Disabilita envio do IPV4 echo 0 > /proc/sys/net/ipv4/ip_forward echo - Desabilitando envio IPV4 : [OK] # SYN-Flood Proteção iptables -N syn-flood iptables -A syn-flood -m limit --limit 10/second --limit-burst 50 -j RETURN iptables -A syn-flood -j LOG --log-prefix "SYN FLOOD: " iptables -A syn-flood -j DROP echo - Proteção contra SYN-Flood : [OK] # Loopback iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT echo - Loopback : [OK] # Derruba conexões de scans iptables -A INPUT -m recent --name scan --update --seconds 600 --rttl --hitcount 3 -j DROP iptables -A INPUT -m recent --name scan --update --seconds 600 --rttl --hitcount 3 -j LOG --log-level info --log-prefix "Scan recente" echo - Proteção contra scans - [OK] # Derruba pacotes de SYN invalidos iptables -A INPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j LOG --log-level info --log-prefix "Pacotes SYN Detectado" iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-level info --log-prefix "Pacotes SYN Detectado" iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-level info --log-prefix "Pacotes SYN Detectado" # Derruba pacotes de SYN invalidos iptables -A OUTPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP iptables -A OUTPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A OUTPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j LOG --log-level info --log-prefix "Pacotes SYN Detectado" iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-level info --log-prefix "Pacotes SYN Detectado" iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-level info --log-prefix "Pacotes SYN Detectado" echo - Proteção contra pacotes de SYN invalidos : [OK] # Se certifica que novos pacotes são SYN , caso contrário derruba eles iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP # Descarta pacotes com fragmentos de entrada. Ataque que pode causar perca de dados iptables -A INPUT -f -j DROP iptables -A INPUT -f -j LOG --log-level info --log-prefix "Pct de Entrada Fragmentados" echo - Proteção contra pacotes de entrada que podem causar perca de dados : [OK] # Derruba pacotes XMAS mal formados iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-level info --log-prefix "Pacotes XMAS mal formados" echo - Proteção contra pacotes XMAS mal formados : [OK] # DNS In/Out iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT echo - DNS : [OK] # NTP Out iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT echo - NTP : [OK] # WHOIS Out iptables -t filter -A OUTPUT -p tcp --dport 43 -j ACCEPT echo - WHOIS : [OK] # FTP Out iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 30000:50000 -j ACCEPT # FTP In iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 30000:50000 -j ACCEPT iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo - FTP : [OK] # HTTP + HTTPS Out iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT # HTTP + HTTPS In iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT echo - HTTP/HTTPS : [OK] # Mail SMTP:25 iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT echo - SMTP : [OK] # Mail POP3:110 iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT echo - POP : [OK] # Mail IMAP:143 iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT echo - IMAP : [OK] # Reverse iptables -t filter -A INPUT -p tcp --dport 77 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 77 -j ACCEPT echo - Reverse : [OK] # MSF iptables -t filter -A INPUT -p tcp --dport 7337 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 7337 -j ACCEPT echo - MSF : [OK] ####################################### # Gerenciamento WEB do Firewall touch /var/log/firewall chmod +x /var/log/firewall /var/log/firewall -A INPUT -p icmp -m limit --limit 1/s -j LOG --log-level info --log-prefix "ICMP Dropped " /var/log/firewall -A INPUT -p tcp -m limit --limit 1/s -j LOG --log-level info --log-prefix "TCP Dropped " /var/log/firewall -A INPUT -p udp -m limit --limit 1/s -j LOG --log-level info --log-prefix "UDP Dropped " /var/log/firewall -A INPUT -f -m limit --limit 1/s -j LOG --log-level warning --log-prefix "FRAGMENT Dropped " /var/log/firewall -A INPUT -m limit --limit 1/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: " /var/log/firewall -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: " echo - Gerenciamento Do Firewall : [OK] echo - Firewall [OK] exit 0 ;; stop) echo "Desligando Firewall... " iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -t filter -F echo "Firewall Desligado!" echo "Coded By Sup3rm4n" exit 0 ;; restart) /etc/init.d/firewall stop /etc/init.d/firewall start ;; *) echo "Uso: /etc/init.d/firewall {start|stop|restart}" exit 1 ;; esac ---------------------------------------------------------------------------------------------------------------- ====================================== 1.5 Intrusion Detection System (IDS) ====================================== Então galerinha os IDS conhecidos também como sistema de detecção de intrusos capturam tentativas de invasão em tempo real , seu funcionamento é bem simples e eficaz , o IDS analisa todos os pacotes que estão trafegando na rede e procura por assinaturas estranhas todas as assinaturas que fogem do padrão são classificadas como um ataque, os IDS podem atuar apenas alertando os admins ou aplicando ações afim de barrar os ataques. Existe dois tipos de IDS os que são colocados na rede aonde se encontra o host a ser monitorado conhecidos como NIDS e os sistemas baseados em host conhecidos como HIDS estes são colocados no proprio host a ser monitorado. para maiores informações: http://www.snort.com.br/comofuncionaids.asp ================================= 1.6 IDS Snort Para server (WEB) ================================= Um IDS (Intrusion Detection System) é uma ferramenta que analisa o tráfego da rede e registra tentativas de invasão. Com ele é possível se estudar os métodos utilizados por estes "propensos invasores" e com base nestes relatórios, criar novas regras de segurança. Para este tipo de serviço o Snort é a ferramenta mais utilizada atualmente em servidores espalhados pela internet. Além de seu uso em Linux, está disponível também para Windows, podendo ser baixado em suas duas versões em seu site. Acrescente esta linha em seu sources.list: deb http://people.debian.org/~ssmeenk/snort-stable-i386/ ./ Para instalar, use o comando: # apt-get install snort O snort é o melhor NIDS que conheço , se alguêm conhecer um melhor me avise hehe , vc pode baixar ele em seu site oficial tb "http://www.snort.org/start/download" esta tool é um open source feito em C desenvolvido por Martin Roesch portanto você pode fazer as modificações que desejar nele de acordo com o que necessita. Como utiliza-lo : Após baixa-lo vocêr irá configurar o arquivo snort.conf que geralmente fica em /etc/snort/snort.conf , ook então vamos lá. root@cyberhats:# vim /etc/snort/snort.conf No seu terminal você editará as seguintes partes do arquivo: -------------------------- # like this: var HOME_NET XXX.XXX.XXX.XXX <--- no lugar do xxx.xxx.xxx.xxx coloque o ip do host a ser monitorado # Set up the external network addresses as well. A good start may be "any" var EXTERNAL_NET any <--- certifique-se de estar any se quizer que seja alertado quando qualquer ip tentar algum ataque contra seu host #var EXTERNAL_NET !$HOME_NET ------------------------- Depois rode o snort com o comando : root@cyberhats:# service snort start Depois coloque ele em alerta com o comando : root@cyberhats:# snort -q -A console -i wlan0 -c /etc/snort/snort.conf <-- wlan0 é minha interface mude de acordo com a sua Para verificar se o snort está realmente exutando : root@cyberhats:# ps ax | grep snort Pronto está em alerta e já está mais protegido teu sistema hehe =============================== 1.7 Ficando oculto na internet =============================== Quase tudo o que fazemos fica registrado na Internet e isso muita das vezes pode ser usado contra você ,um usuario comum dificilmente possui privacidade na internet pois tudo o que ele faz é registrado, com uma simples busca no google você consegue descobrir informações de uma pessoa que não sabe se proteger e ficar no anonimato ,além disso quase todos websites visitados guardam registros.Se você é como eu e preza por sua privacidade ,mas não sabe como ficar anonimo na internet eu aconselho ler está parte da ezine. Esta parte é mais direcionadas aos Beginners ou Noobs portanto se você é um cara que já manja dos paranaues pode pular está parte. Um ótimo site para você checar o nivel de sua anonimidade é o site Internet Troubleshooting and Forensics (IPduh) além disso ele é um excelente site para você fazer fingerprint e footprint (o qual será abordado mais para frente na nossa ezine), a url do website é : http://ipduh.com/anonymity-check/ OOK então chega de enrolar e vamos ao que interessa mesmo ,os websites que você visita guardam logs, apesar da Anatel não deixar de forma especifica quais serão os dados que devem ser armazenados a discussão no debate PL 84/1999 e Marco Civil afirma que apenas atraves da data, hora, ip e o gmt sejam suficientes para descobrir tudo sobre você. Quase todas as pessoas utilizam o google.com só que infelizmente o google captura informações sua por este motivos eu aconselho a usar outros buscadores q são execelentes tais como o https://startpage.com e o https://duckduckgo.com/ e não armazenam dados seu. Uma forma de enganar este sistema para que eles não peguem seus dados é atraves de proxys e vpns mas todo mundo sabe o que são proxys e vpns se você não sabe basta dar uma olhada no google que tem vários tutos explicando , mas mesmo com proxy e vpns é possivel conseguir chegar até você atravez de um reverse é claro que a pessoa que deseja descobrir tua localizção terá mais trampo mas apenas com proxy e vpns você ainda não está protegido uma forma mais segura para ficar no anonimato é utilizando um mac + ip clonados e um tunelamento de ips então vamos lá: ======================= 1.8 Como clonar um mac ======================= Primeiramente devemos digitar no terminal ifconfig root@cyberhats:# ifconfig eth0 Link encap:Ethernet Endereço de HW 00:06:0a:ea:dc:73 UP BROADCASTMULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) IRQ:45 Endereço de E/S:0x2000 wlan0 Link encap:Ethernet Endereço de HW 40:3a:05:96:5a:10 inet end.: 191.162.1.24 Bcast:192.168.1.255 Masc:255.255.255.0 endereço inet6: fe80::721a:4ff:fe69:7a20/64 Escopo:Link UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 RX packets:36652 errors:0 dropped:0 overruns:0 frame:0 TX packets:28333 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:39117265 (37.3 MiB) TX bytes:4597970 (4.3 MiB) ethe0 é a placa de rede cabeada e seu MAC é 00:03:0d:ea:dc:96 e o wlan0 é a placa de rede wireless com MAC 40:3a:05:96:5a:10 Para mudar o MAC primeiramente você precisa derrubar o wlan0 e depois a reconstruir com as novas configs para isso utlilizamos o comando "ifconfig wlan0 down" root@cyberhats:# ifconfig wlan0 down Agora é só mudar as configs e levantar a rede de novo muito simples :) para mudar o mac basta digitar o comando "ifconfig wlan0 hw ether xx:xx:xx:xx:xx:xx" aonde xx você colocará o novo mac que deseja . root@cyberhats:# ifconfig wlan0 hw ether 16:cd:26:ab:69:ef Depois você utiliza o comando "ifconfig wlan0 up" para levantar a rede e pronto. root@cyberhats:# ifconfig wlan0 up ======================== 1.9 Como mascarar um ip ======================== Mascarar um ip é uma técnica muito utilizada no meio hacker pois você poderá criar uma mascará em cima da outra o que tornará quase impossivel te identificaram. Para mascarar um ip basta digitar no terminal o comando "ifconfig wlan0:1 xxx.xxx.xxx.xxx" aonde xxx.xxx.xxx.xxx é o ip que estára mascarando o verdadeiro. root@cyberhats:# ifconfig wlan0:1 192.158.0.126 root@cyberhats:# ifconfig eth0 Link encap:Ethernet Endereço de HW 00:06:0a:ea:dc:73 UP BROADCASTMULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) IRQ:45 Endereço de E/S:0x2000 wlan0 Link encap:Ethernet Endereço de HW 40:3a:05:96:5a:10 inet end.: 191.162.1.24 Bcast:192.168.1.255 Masc:255.255.255.0 endereço inet6: fe80::721a:4ff:fe69:7a20/64 Escopo:Link UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 RX packets:36652 errors:0 dropped:0 overruns:0 frame:0 TX packets:28333 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:39117265 (37.3 MiB) TX bytes:4597970 (4.3 MiB) wlan0:1 Link encap:Ethernet Endereço de HW 12:ab:34:cd:56:ef inet end.: 192.158.0.126 Bcast:192.168.1.255 Masc:255.255.255.0 UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 Viu o que aconteceu? Ele criará uma mascará que ocultará o seu verdadeiro ip e o unico endereço que será usado é o mascarada então você ficará protegido para criar uma mascara sobre outra basta ir adicionando elas da mesma forma que a primeira só ir mudando os numeros delas que será adicionado outras mascaras que irão sobrepondo uma sobre outra. Ps: Este método não protege teu ip externo apenas o interno. root@cyberhats:# ifconfig wlan0:1:2 192.128.0.45 root@cyberhats:# ifconfig eth0 Link encap:Ethernet Endereço de HW 00:06:0a:ea:dc:73 UP BROADCASTMULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) IRQ:45 Endereço de E/S:0x2000 wlan0 Link encap:Ethernet Endereço de HW 40:3a:05:96:5a:10 inet end.: 191.162.1.24 Bcast:192.168.1.255 Masc:255.255.255.0 endereço inet6: fe80::721a:4ff:fe69:7a20/64 Escopo:Link UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 RX packets:36652 errors:0 dropped:0 overruns:0 frame:0 TX packets:28333 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:39117265 (37.3 MiB) TX bytes:4597970 (4.3 MiB) wlan0:1 Link encap:Ethernet Endereço de HW 12:ab:34:cd:56:ef inet end.: 192.158.0.126 Bcast:192.168.1.255 Masc:255.255.255.0 UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 wlan0:1:2 Link encap:Ethernet Endereço de HW 12:ab:34:cd:56:ef inet end.: 192.128.0.45 Bcast:192.168.1.255 Masc:255.255.255.0 UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 Agora se você não quizer fazer isso manualmente aqui vai a source de uma tool feita pelo b4ckd00r que faz todas essas etapas para você: ----------------------------------------- #! /bin/sh ifconfig wlan0 down ifconfig wlan0 down ifconfig wlan0 hw ether 16:cd:26:ab:69:ef ifconfig wlan0 down ifconfig wlan0 hw ether 16:cd:26:ab:69:ef ifconfig down ifconfig wlan0:1 192.158.0.126 ifconfig wlan0:1:2 50.5.26.10 ifconfig wlan0:1:2:3 40.52.86.32 ifconfig wlan0:1:2:3:4 10.15.24.55 ifconfig wlan0 up echo Sucesso na operação ! ---------------------------------------- ======================= 2.0 Tunelamento de ips ======================= O método de tunelamento de ips que irei descrever aqui foi criado por meu brother DrakeDoS, é um execelente método para proteger o seu ip. Os seguintes passos devem ser feitos: 1 - Entrar no site http://www.cjb.net 2 - Ir até a guia http://www.cjb.net/shell.html 3 - Registrar uma conta 4 - Instalar o ssh, caso necessário,digitar em um terminal "sudo apt-get install ssh" 5 - Iniciar o Servidor ssh, para o tunelamento,digitar em um terminal ssh -D 127.0.0.1:1085 usuario@shell.cjb.net 6 - após apertar ENTER o ssh pedira a senha cadastrada. 7 - faça o download da tollbar FOXY PROXY (Standard), para o seu firefox. 8 - abrir o Firefox novamente, e clicar com o botão direito do mouse sobre o icone do FOXY PROXY e ir até a guia Options 9 - na janela do FOXY PROXY Standard, que abrira, clique em Add New Proxy 10 - abrira outra janela onde deve-se configurar os settings, tais como o IP 127.0.0.1 e a porta 1085 e e marcar SOCKS PROXY? 11 - na aba General é possivel nomear o tunelamento e mudar a cor do icone que indica a conexão. nome padrão: Tunnel 12 - após tudo feito, é só dar ok em ambas janelas do FOXY PROXY, e clicar no icone do FOXY PROXY com o botão direito do mouse 13 - e escolher a opção referente ao tunelamento feito, neste caso de exmplo, selecionar a conexão "Tunnel" 14 - Pronto o tunelamento está criado. Enjoy ! :D Está é a pra configurar ele depois de feito isso se quizer utilizar ele de novo bastar seguir estes passos: 1 - Iniciar o Servidor ssh, para o tunelamento,digitar em um terminal ssh -D 127.0.0.1:1085 usuario@shell.cjb.net 2 - abrir o firefox, e clicar no icone do FOXY PROXY com o botão direito do mouse, e selecionar a opão "Tunnel" 3 - testar a anonimidade em http://ipduh.com/anonymity-check/ e pronto ! :) NOTA IMPORTANTE: NÃO FECHAR O TERMINAL NECESSÁRIO PARA CONEXÃO SSH OU AUTOMATICAMENTE O TUNELAMENTO SESSA ! ================================= 2.1 Mandando Emails Anonimamente ================================= Mandar email anonimamente é uma técnica muito simples que pode ser muito util pra engenharia social,bankers utilizam dessa técnica a séculos pra pegar senhas eles mandam um email tipo adminitracao@bradesco.com pedindo a senha da pessoa se for uma pessoa que não conheça este truque mandará a senha acreditando que é realmente um email enviado pelo banco.Pode ser util para você criar contas de forma anonima imagina que você deseja se registrar num website e este peça teu email para fazer o registro neste caso você poderá usar um email que se auto delete em 10 minutos assim manterá seu anonimato tem inumeras utilidades mas chega de fla e vamos ao que interessa. Alguns sites que mandam emails de forma anonima são: Manda email fake você poderá mandar msgs com emails tipo sup3rm4n@fbi.gov http://emkei.cz/ http://deadfake.com/Send.aspx Emails anonimos que não registram nada sobre você e protegem seu anonimato: http://www.yopmail.com/en/ http://tormail.org/ Email que se auto deleta após 10 min: http://10minutemail.com/ http://10minutemail.net/pt/ ==================== 2.2 Protocolo HTTPS ==================== Com o grande avanço das plataformas de comunicação algumas sendo seguras e outras não ocorreu a necessidade de criar meios criptografados no qual mesmo que terceiros interceptassem não possuiriam valor algum, e assim nasce o protocolo https.O protocolo https protege você contra ataques man in the middle e sniffers permite uma conexão mais segura ;) O projeto tor criou um aplicativo chamdo HTTPS EVERYWHERE ele é baseado na implementação NoScript STS ele faz com que sua conexão seja mais segura em todos os websites que suportam ssl. Para mais informações sobre ele ou para baixa-lo acesse o link: https://trac.torproject.org/projects/tor/query?status=accepted&status=assigned&status=needs_information&status=needs_review&status=needs_revision&status=new&status=reopened&groupdesc=1&group=type&max=200&component=EFF-HTTPS+Everywhere&component=HTTPS+Everywhere%3A+Chrome&order=priority&col=id&col=summary&col=component&col=status&col=owner&col=type&col=priority&col=milestone&report=19 ===================================== 2.3 Honeypots - O Pote irresistível ===================================== Os Honeypots não possuem este nome atoa,afinal quando você esta escaneando uma rede e se depara com um serviço desatualizado,aberto e/ou vulnerável dá uma vontade imensa de exploitá-lo. Os honeypots simulam estes serviços que para o invasor esta vulnerável mas esta vulnerabilidade foi imposta propositalmente pelo administrador da rede através de um software,os honeypots que são sistemas que se mostram vulneráveis, atraindo invasores que, quando conectados ao sistema, serão monitorados.Com isso, técnicas, vulnerabilidades e ferramentas são obtidas para análise e proteção dos sistemas. "Um honeypot existe somente para ser invadido”, explica Christian Seifert, diretor-executivo do Honeynet Project. Existem Diferentes tipos de honeypots,são eles: Honeypot de Baixa Interação – Todos os serviços e vulnerabilidades são simulados e o invasor nunca terá acesso ao sistema real. É apenas um mundo da fantasia. Nesse tipo de honeypot, a armadilha pode ser montada através de programas que simulam ambientes vulneráveis. * Vantagens: O invasor não consegue obter ganho de privilégios e explorar outras máquinas da rede. * Desvantagens: Um hacker mais experiente pode detectar rapidamente a farsa e desconectar do sistema, mas até isso acontecer, o honeypot já registrou algumas de suas atividades e endereço de rede. Honeypot de Alta Interação – Trata-se de um sistema real, por exemplo você instala a máquina, sistema operacional e serviços vulneráveis e expõe ela para a Internet. O mais recomendado é ter uma estrutura isolada para o honeypot, não tendo ligação com a rede atual de produção ou pesquisa. * Vantagens: Difícil identificação da armadilha pelo hacker, pois trata-se de um ambiente real, e as suas ações são enviadas para outro computador, evitando que sejam perdidas se o hacker detonar o sistema operacional. * Desvantagens: Dependendo da vulnerabilidade cedida, um hacker pode utilizar outros tipos de ataques e usar o sistema real para invadir outras máquinas na rede. Simplificando a prática, seria dessa forma: 1 – Monta-se um ambiente vulnerável, para que hackers encontrem e comecem a explorar o sistema, achando que é um alvo real. 2 – Durante essa invasão, todas as ações do hacker são monitoradas e podem ser utilizadas futuramente como um padrão de estudo. Como a maioria dos ataques em empresas tem ajuda de algum fator interno, pode ser util utilizar honeypots para descobrir quem está sabotando (deletando, alterando). Alguns honeypots: - honeyd - LINUX ( #apt-get install honeyd) - Valhala Honeypot - WINDOWS (http://ziggi.uol.com.br/downloads/valhala-honeypot) ============== 2.4 Honeynet ============== Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes. Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" . Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando análises detalhadas das ferramentas utilizadas, de suas motivações e das vulnerabilidades exploradas. Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para geração de alertas. Existem dois tipos de honeynets: as honeynets reais (ou simplesmente honeynets) e as honeynets virtuais: * Honeynets reais Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos. Para exemplificar, uma honeynet real poderia ser composta pelos seguintes dispositivos: * diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados; * um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados; * um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados; * um computador atuando como repositório dos dados coletados; * hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet. As vantagens deste tipo são: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais. As principais desvantagens são: manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado. * Honeynets virtuais Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) ou o UML (User Mode Linux). Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo. As honeynets virtuais ainda são subdivididas em duas categorias: de auto-contenção e híbridas. Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dados, geração de alertas e os honeypots (implementados através de um software de virtualização) estão em um único computador. Na segunda, os mecanismos de contenção, captura e coleta de dados e geração de alertas são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização. * As vantagens das honeynets virtuais são: manutenção mais simples; necessidade de menor espaço físico para os equipamentos, e custo final tende a ser mais baixo. As principais desvantagens são: alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas (muitos componentes concentrados em um único ponto); o software de virtualização pode limitar o hardware e sistemas operacionais utilizados; o atacante pode obter acesso a outras partes do sistema, pois tudo compartilha os recursos de um mesmo dispositivo (no caso da categoria de auto-contenção), e possibilidade do atacante descobrir que está interagindo com um ambiente virtual. Pode-se dizer que uma honeynet caracteriza-se como sendo um tipo de honeypot de alta interação desenvolvido com o intuído principal de pesquisa, para o seu funcionamento costuma-se criar usuários, enviar e-mails, gera-se de históricos e documentos, e todos os serviços comumente usados em um sistema de produção real, visando desta forma, garantir que o serviço em si não seja detectado por nenhum possível invasor (MARCELO, ANTONIO, 2003). * Um fator a ser considerado são os problemas do falso positivo e falso negativo. O falso positivo se dá quando ocorre algum problema na rede ou conexão e o mesmo acaba sendo interpretado como um ataque real Para maiores informações e mirrors: http://old.honeynet.org/ ============================ 2.5 Segurança de Roteadores ============================ Bom se esta ezine esta abordando textos mais voltados para a segurança nada melhor doque dizer sobre as redes sem fio.Atualmente a demanda por roteadores e sinais de conexões sem fio estão em alta,com isto os invasores ficam mais felizes.Uma pequena observação quando formos dizer exemplo: -Aqui tem sinal de internet ? Não se diz - aqui tem sinal Wifi.Porque Wi-fi foi uma "conferência" e uma união de diversas empresas do mundo inteiro para determinar padrões de sinais e equipamentos. Wifi = Wireless Fidelity o certo seria perguntar se aqui possue sinal wireless. Mas sem enrolação vamos para o primeiro tópico sobre a segurança nos roteadores; --> Senhas Logo o assunto mais polêmico ='c Enfim vamos começar, apesar de que grande parte dos ataques em redes wireless não se baseiam em brute force mas sim de pacotes que são criando com softwares próprios que sniffam aquela rede; Sniffar= capturar dados da rede,seja rede coorporativa ou doméstica.Mesmo sendo que os ataques as redes por brute force percam para os de análise de pacotes devemos possuir uma senha consideravelmente forte,quando digo forte falo em cerca de no mínimo 8 a 10 dígitos (MINIMO) contendo os caracteres em alfanumérico,simbolico etc. Fuçando na I.net (que esta uma porcaria por sinal) encontrei alguns links interessantes para teste de senhas como: -> https://www.microsoft.com/pt-br/security/pc-security/password-checker.aspx --> Criptografia A segurança da rede não depende so da senha,como eu disse os ataque a redes wireless via brute force perdem para os de análise de pacotes,ou seja SE a senha for forte irá solucionar somente um problema,isto mesmo "SE"!... A grande precursora da segurança na "Era Digital" é a criptografia que proporcionou mais "conforto" para os administradores,presidentes de países,donos de empresas,enfim todos que usam a i.net. Existem diversos tipos de criptografia na i.net atualmente rodando em diversas aplicações como é o fluxo de informações de transações bancárias em sites de e-commerce,criptografia de arquivos críticos para administração de um site como User e pass.A criptografia esta prensente sem dúvida em todo os lugares que a I.net esteja,mas como estamos falando de roteadores iremos falar somente das criptografia que são utilizadas para criptografar as senhas e o tráfego de informações pela WAN (estrutura de internet que pode atravessar estados,paises e continentes.A I.net nada mais é doque uma WAN gigantesca).Bom como alguns ja sabem e outros não são 4 os principais tipos de criptografia de sinais wireless; --> WEP (e suas variações) ; --> WPA(e suas variações) ; --> WPA2 - PSK (e suas variações) ; Vamos começar falando da WEP que é considerada hoje em dia o pior método de criptografia de senhas,não sei como ainda não foi extinto.Para se ter noção da fraqueza desta criptografia programas especilizados em quebra de passwords conseguem descriptografa-la em cerca de 4 a 8 minutos isso se deve ao fato de que o método de cifra que utilizaram ja foi descoberto e implantado no codigo fonte destas ferramentas. A criptografia WPA é a que vem logo depois da WEP,com esta criptografia na época revolucionou o mercado pois era considerado uma das melhores cirptografias acessíveis para que pudessem cifrar sinais de internet sem fio.Esta criptografia ficou mais robusta com suas variações que implataram diversos tipos de cifras e métodos mais fortes de criptografai mas como nada é perfeito conseguiram descobrir um vulnerabilidade para quebrar estas senhas, não é tão rapido quanto a WEP pois na WPA e sua variações é necessário atingir um determinado número de pacotes interceptados para que se possa fazer um bruteforce.Para quebrar sua senha demora cerca de 1 a 5 horas dependendo de cada computador e da intensidade do sinal dura mais ou menos. Depois de um tempo surgiu então a criptografia WA2 e sua variações,este método de criptografia é atual e por isto diversos roteadores de hoje em dia usam a hash (criptografia) WPA.Esta senha possue uma criptografia de tráfego de dados muito forte mais mesmo assim pode ser quebrada com uma interceptação longa de pacotes e traços de padrões para que se tente assimilar a senha a algum padrão encontrado,devido ao meio de descriptografar esta hash o tempo estimado é de 4 horas ate 12 horas variando de cada computador e cada ferramenta pode aumentar ou diminuir o tempo. --> Canal Muitos usuário que se preoculpam com seu gateway (roteador de disponibiliza conexão WAN) procuram saber algumas informações mas muitas delas dizem que já vme tudo configurado e que não prescisa mudar nada,existe canais de 1 a 11 se não me engano, dentre estes canais como são sinais de ondas eletromagnéticas alguns podem sofrer interferências com outros objetos como é o caso do canal 6 que sofre choque de ondas entre o telefone sem fio e o sinal wireless.Um canal que recomendo é o canal 11 já que é praticamente nulo objetos que trabalhem nesta parcela de conexão. --> Cabo eternet O cabo ethernet (em minha opnião) é o melhor métodos de se conectar a I.net um dos melhores benefícios é o de que não pode ser invadido pois não emite ondas eletromagnéticas para que sejam capturadas e comutadas pelos roteadores,outro fator tambem que influencia muito é que não sofre interferêcia com nenhum objeto pois não compartilha conexão com outros aparelhos,a não ser que se possua um tefelone com fio (DSL) e o cabo ethernet ligados a um modem ADSL (que é o mais frequente) PODE OCORRER colisçoes de pacotes mas como o protocolo TCP é anti-falhas em milésimos de segundos ele irá re-enviar o pacote e você não irá perceber nenhuma diferença na velocidade ou no tráfego.Outra grande vantagem que a conexão por cabo ethernet proporciona é que sua capacidade de transporte de pacotes por segundo é muito superior a dos sinais wireless. --> Restrição de MAC-Adress Um melhor encremento na segurança do roteador é a de restrição de acesso pelo MAC.Este método consiste em abrir uma conexão wireless apenas para os endereços MAC de cada computador,endereço MAC é o número em hexadecimal que cada placa de rede possue apesar de este endereço poder ser clonado o atacante tera um chance muito pequena de acertar logo os MAC's que estão autorizados a se conectar na rede,com isto o atacante desiste de invadir a rede. Para criar esta restição você deverá acessar o menu do seu roteador,basta colar o ip do seu roteador na barra de endereços (URL).Caso você nçao saiba o endereço do seu router tenta os defaults abaixo: #192.168.1.1 #192.168.0.1 #10.0.0.1 #10.1.1.1 Caso nunca tenha se conectado no seu painel do roteador peço que de uma estudada melhor no assunto e venha ler a ezine novamente,mas o seu login deve ser provavelmente # admin admin #administrator admin Se ja esteja logado você terá de encontrar a opção de restrição de MAC (não tem como eu dizer pois existem milharem de modelos de roteadores todos com interfaces de configurações diferentes),quando pedir quais o endereços de MAC's que podem ter acesso ao sinal wireless vocÇe deve ir em cada computador e pegar o MAC com o seguinte comando: # Caso seja windows ir no prompt de comando e digitar "ipconfig /all" e será um número similar a este 00:00:00:00:00:00 (mas não com estes caracteres). # Caso seja linux ir no shell e digitar "ifconfig" e será um numero similar a este 00:00:00:00:00:00 (mas não com estes caracteres). Após isto é só criar a regra e pronto mais uma defensa em sua rede wireless,ah e não se esqueça de mudar o usuário e a senha padrão do seu roteador. --> Anti-DDoS e Anti-Scan Com o crescente número de ataques e a crescente demanda para roteadores os produtores colocam no código fonte firewalls imbutidos para "facilitar" a vida do usuário.Dentre as opções do firewall do roteador estão a de bloquear os pacotes ICMP e colocar um número máximo de pacotes que entram.Existe tambem uma opção de modificar o tempo do pacote e caso ultrapasse este tempo ele seja descartado.Eu recomendo que sempre deixem estas opções marcadas pois assim será mais uma ótima defesa não só para o seu roteador mas tambem para seu computadores que irão estar parcialmente protegidos contra alguns scaners. --> DMZ (Zona desmilitarizada) DMZ é a sigla de DeMilitarized Zone, que quer dizer zona desmilitarizada. É um recurso que permite deixar um computador totalmente acessível à I.net Ao usar esse recurso, não é permitido usar o Port Forwarding (que deve desabilitado). Além disso, ele não torna somente um serviço acessível à Internet, mas sim todos os dados do computador podem ser acessados irrestritamente, Não à nenhum tipo de protecção ao computador exposto. Não é necessário associar uma porta IP, uma vez que o computador é exposto integralmente. Basta informar o IP local. Além disso, um único computador pode ser configurado. O acesso ao computador pela Internet é feito escrevendo no browser o IP público do gateway. Como configurar o DMZ no router? # 1. Na página DMZ, assinale o itel Enable DMZ. # 2. Em DMZ Host IP Address, escreva o IP do computador local que ficará exposto à Internet. # 3. Clique em Apply Changes para salvar a configuração. Ao colocar um computador na DMZ todas as portas ficam abertas. ISto pode ser usado para prestar serviços como: ftp, email, web, etc. OBSERVAÇÕES: ### Uma DMZ não tem proteção do firewall. os computadores que estão na DMZ não podem ser protegidos pelo firewall. Eles tem que se garantir sozinhos. ### ## Uma característica interessante é que os roteadores é que ao colocar um computador na DMZ todas as "portas" ficam imediatamente abertas. Isso pode ser usado para prestar serviços como web, ftp, email. ## ## AI você me pergunta então porque deixar meu computador exposto ? SImples.Pelo fato de que ele será o computador de linha de frente ou seja nenhum dos outros computadores sera atingido,apenas ele.Quem invadir sua rede terá acesso apenas ao computador da DMZ e a mais nenhum,isto se deve ao fato de que a DMZ é uma zone limitada mas que possue sua segurança no zero,esta é a estratégia para o invasor pensar que invadiu sua rede quando na verdade esta preso em uma DMZ. ## ===================================== 2.6 Monitoramento de rede - Part. II ===================================== Bom pessoal já que estamos falando sobre segurança de roteadores e acima citamos algumas dicas para a segurança tanto de sua rede interna como para o seu gateway ou para a sua fronteira entre a LAN e a WAN (roteador).Como ninguem gosta de que espertinhos invadam nossas redes principalmente se for com o intuito de snnifar os frames (dados) que trafegam por lá ou seja somente para pegar o sinal e navegar tranquilamente.Caso a criptografia da sua rede seja fraca como a que apresentamos que é a WEP ou se seu método de criptografia de dados seja bom (WPA2 e derivações) mas sua senha for fraca um simples brute force irá quebrá-la. Caso você siga os parâmetros de segurança e anonimato que eu e o sup3rm4n estamos expondo tanto para conexão em sockets (http/https) quanto para regras de firewall,proxys para redirecionamento de dados de ataque (ddos,scan), regras de criptografia e regras de restrição de disponibilidade de frames (dados) da rede para pessoas que não estão dentro dos padrões em que o endereço MAC não esteja permitido e tambem caso use um ids para alguns imprevistos e para a proteção do gateways a sua rede estará com uma segurança já em um nível bom,mas já pensou se um atacante bem experiente consegue burlar tudo isto ? Então você pensa como vou fazer para detectar alguma atacantes na minha rede. Simples ! Existe um ferramenta hoje em dia para monitoramento de dados que é bem interessante tanto em seu funcionamento quanto em seus resultados pois são bem diretos e não expressam nenhuma informação complexa para que fique restrito para apenas alguma parcela da população de apaixonados por segurança da informação. #WEL0v3S.I (Nós amamos segurança da informação *.* // meio gay isto mas ta de boa) Bom vamos continuar,a seguinte ferramenta que vou apresentar para vocês é uma espécie de hping misturado com um ifconfig.Isto mesmo ! eles somente detecta os ips que estão na rede e seus respectivos endereços MAC,então você pensa pow nada demais isto então.Ai que você perde ;) A ferramenta se chama "fing" eles possue a compatibilidade com os seguintes sistemas operacionais: * Windows * Linux * MacOSx * IOs Infelismente os repositório de download rápido não possuem esta tool em seu banco de dados por isto temos que fazer o download no site em que foi programado: Download > http://www.overlooksoft.com/download Ou então para os preguiçosos que querem baixar pelo terminal segue o comandos: # wget “http://www.overlooksoft.com/packages/download?plat=lx64&ext=deb” # sudo dpkg -i "nome do pacote.deb" Após ter instalado o fing basta ir no terminal shell e digitar fing que ele ira listar a rede em que você esta conectado e quais os ips e MACs estão conectados. Caso você possua somente um computador na rede irá aparecer dois IPS e dois MACS pois eles correspondem ao seu computador (lógico) e tambem ao seu roteador ou seja o fing interpreta seu roteador sendo como um computador.Caso queira saber se é mesmo seu computador que esta com aquele ip basta ir no terminal shell e digitar: Linux: ifconfig Windows: ipconfig Este comando irá lista o ip e o MAC do seu computador na rede ai é so voce comparar com oque esta la na interface do fing.Caso voce so tenha um computador e aparecer 3 IPS ai começe a criar regras no iptables para bloquear o infeliz que esta invadindo sua rede e tambem certifique de que a regra de restrição de MAC esta habilitade e configurada corretamente. =============================================== 2.7 Monitoramento de rede - Interface gráfica =============================================== Muitas vezes algumas pessoas não estão acostumadas ou não gostam de ficar monitorando sua rede por linhas de comando e por isto optam por ferramentas que possuem interface GUI (interface gráfica para usuário) um destes exemplos é o Etherape que é similar a um sniffer pois ele intercepta os frames (dados) que estão indo para seu gateway (roteador),para sua placa de rede e consequentemente ao seu computador.As vantagens em utilizar um analisador de tráfego de rede em GUI (interface gráfica) e em linha de comando varia de pessoa para pessoa, por exemplo se você é um apaixonado por desing antigo e mais hackudao então voce prefere por linha de comando,mas se voce prefere uma ferramenta mais amigável que com poucos clicks você ja descobre sobre o trafego da rede então sua preferência é sobre ferramentas em geral no tipo GUI. Preferir ferramentas gráficas não é um problema mas não é muito recomendado pois a maioria das tools hoje em dias não prezam pelo desing bonitinho mas sim pelo oque ela faz por exemplo existe os scanners de vulnerabilidades bonitinhos mas que nao possuem muitas ferramentas e nao é muito aberto para modificações como é o exemplo do angryscan que é utilizado em windows como um scan em massa de determinadas portas como (23,21,445) / 23 = telnet / 21 = ftp / 445 = serviço de compartilhamento de arquivos do windows e tambem o netifera que é utilizado em sistemas linux e que tambem possue interface amigável (GUI), o netifera é mais completo doque o angryscan isto é obvio não porque mas parece que os melhores programadores tem preferência em ferramentas de linha de comandos e interfaces não muito amigáveis em termo de desing. Enfim vamos falar sobre o etherape, ele é uma ferramenta que como eu disse monitora a rede em tempo real (como eu ja disse) ele possue uma interface tão amigável que nao prescisa ser um especialista para entender oque esta trafegando em sua placa de rede. Primeiro vamos devemos instalar ele,felizmente possue no banco de dados do sistema de download de ferramentas o apt-get então para baixar basta executar os seguintes comandos: # apt-get install etherape # yum install etherape OU então pode ser baixado pelo site dos desenvolvedores >> http://etherape.sourceforge.net/ Após isto caso não seja criado um link em seu menu basta ir no terminal e digitar etherape. Então irá abrir uma interface que no momento não monitora nada pois ainda devemos selecionar qual das interfaces deverão ficar em "escuta". Vá em capture > interface e logo após isto selecione a interface que você esta conectado.Caso nao saiba basta ir no terminal shell do linux e digitar o seguinte comando: # ifconfig Ele irá te mostrar os dados de sua conexão e de sua placa de rede como tambem qual das interfaces esta conectada mas para facilitar vou dar um prévia explicação para facilitar a vidade dos preguiçosos: # Caso esteja em uma conexão wireless sua interface utilizada será a "wlan0" # Caso sua conexão com a internet seja feita por cabo (ethernet ou coaxal) a interface utilizada será a "eth0" # Existe uma 3 interface que sempre fica ligada que é a "lo" que é a abreviação de localhost,esta interface faz o tráfego de tudo relacionado com o seu computador mandando para seu proprio pc (não entendeu ?) Exemplo, você vai no terminal shell linux ou no prompt do Dos e digita ping -a localhost.Adivinhe quem irá identificar quem é o localhost ?? a interface "lo" ou seja quando voce manda uma ordem para si mesmo como ping a interface responsável é a "lo".ESta duvidando ? Faça o seguinte coloque o seguinte comando em seu shell de comandos para ver que oque digo é verdade: # Linux: ifconfig lo down Após feito isto você deu um down na interface "lo" ou seja você derrubou esta interface desligou ela.Agora tenta dar um: # ping -a localhost // QUal o problema ? 100% packets lost ? heheh eu te falei. Isto ocorreu pelo fato de que quando você derrubou a interface "lo" e executou o comando do ping direcionando para o localhost ele tenta identificar a interface que é reponsável pelo gerenciamento de localhost,como você derrubou esta interface ele não conseguiu mandar identificar e todos os apcotes foram perdidos. Agora para colocar a interface online novamente: Linux: ifconfig lo up Uma dica é tambem deixar em down a interface que você esta usando,eu não recomendo deixar a "lo" em down.Enfim,quando você seleciona a interface para ser monitora o etherape logo faz uma especie de diagrama com linhas de diferente cores que crescem de acordo com a quantidade e a intensidade de conexão entre sua maquina (placa de rede) e outros serviço que precise de transporte de frames.cada linha do etherape simboliza um serviço basta clicar em cima das linhas que irá aparecer a porta e no lado esquerdo da interface mostrará os serviços que estão rodando, e estas linhas variam suas espessura conforme a intensidade do tráfego. BOm,o tutorial sobre o etherape ficou meio curto pois não tem muita coisa doque falar,então fuçe nele que você irá aprender e sacar como ele funciona,só uma dica: #não utilize o etherape monitorando sua rede enquanto você navega normalmente na internet exemplo (youtube.com ; google.com e outros sites) pois eles fazem conexão com diversos outros servidores como ponte de conexão e logo o seu etherape vai ficar igual a uma discoteca (tut tut tut tut). =========================================== CRIPTOGRAFIA - Parte III =========================================== 1.1 Encriptando dados críticos - Truecrypt =========================================== Eae galerinha ;) mais um topico relacionado a segurança e este é um que eu considero bastante importante pois mesmo que um atacante passa-se por todas estas barreiras que eu e o sup3rm4n falamos ele não poderá pegar os seus dados mais críticos pois estarão sob forte criptografia em arquivo ocultos e/ou ainda melhor em dispositivos móveis criptografados que podem ser retirados e colocados a hora que você quiser sem risco de que alguem invada seu computador e roube seus dados.O atacante pode ate ser inteligente e persistente no ataque e pensar que como não possue informações importantes no computador vocẽ pode estar ocultando os dados por isto ele pode instalar um keylloger na sua máquina e ficar monitorando seu computador 24 horas para assim que voce descriptografar seus dados ele faça o roubo das informações.Mas isto o atacante tem que ser experiente e persistente. Primeiro gostaria de dizer que um filha da puta disse que é impossível de quebrar esta criptografia do truecrypt e que nem o fbi como cia,policia federal e nsa não consegue passar desta segurança,para passar de forma direta ou seja tentar bater de frente contra uma criptografia forte do truecrypt é difícil de quebrar não digo impossivel afinal foram os americanos que inventaram diversos métodos e algorítimos de criptografias. Um exemplo de criptografia que é bem forte e usado em todo o trafego de dados na internet principalmente em sites de e-commerce é a criptografia RSA que pode ser resumida pela fórmula matemática n= p.q esta fórmula parece muito simples mas os numeros de chave publica e privada são numeros primos enormes. # Vamos as criptografia que são utilizadas como opção do truecrypt: (OBS: Informações retiradas da documentação do site do truecrypt: www.truecrypt.org/docs/) ## AES: A Advanced Encryption Standard (AES) especifica um algoritmo de criptografia FIPS - aprovado ( Rijndael , desenhado por Joan Daemen e Vincent Rijmen , publicado em 1998), que podem ser utilizados pelos departamentos e agências federais dos EUA para proteger informações sensíveis cryptographically. TrueCrypt usa AES com 14 rodadas e uma chave de 256 bits (ou seja , AES-256 , publicado em 2001) operando em modo XTS. Em junho de 2003, após a NSA (Agência de Segurança Nacional dos EUA ) realizou uma revisão e análise de AES, os EUA CNSS (Comitê de Sistemas de Segurança Nacional ) anunciou em que a concepção ea força da AES-256 (e AES -192 ) são suficientes para proteger as informações classificadas até o nível de Top Secret . Isto é aplicável a todos os departamentos do governo dos EUA ou as agências que estão considerando a aquisição ou utilização de produtos que incorporem o Advanced Encryption Standard (AES) para satisfazer os requisitos de segurança da informação associados à protecção dos sistemas de segurança nacionais e / ou informações de segurança nacional. ## Serpent: Desenhado por Ross Anderson, Eli Biham e Lars Knudsen , publicada em 1998. Ele utiliza uma chave de 256 bits, bloco de 128 bits e opera em modo XTS. Serpente era um dos finalistas da AES . Não foi selecionado como o algoritmo AES proposta , mesmo que parecia ter uma margem de segurança maior do que o Rijndael vencedora. Mais concretamente, Serpent parecia ter uma margem de segurança de alta , enquanto Rijndael parecia ter apenas uma margem de segurança adequada. Rijndael recebeu também alguma crítica sugerindo que a sua estrutura matemática pode levar a ataques no futuro. A cripto Twofish apresenta uma tabela de fatores de segurança para os finalistas da AES . Fator de segurança é definido como: número de rodadas da cifra completo dividido pelo maior número de rodadas que foi quebrado. Assim, uma cifra quebrado tem o fator de segurança menor 1 . Serpente teve o maior fator de segurança dos finalistas da AES : 3,56 ( para todos os tamanhos de chave suportados) . Rijndael -256 teve um fator de segurança de 1,56 . Apesar destes fatos , Rijndael foi considerado uma seleção adequada para a AES para a sua combinação de segurança, desempenho , eficiência, exequibilidade e flexibilidade . Na última Conferência Candidate AES, Rijndael tem 86 votos, Serpent tem 59 votos, Twofish tem 31 votos, RC6 tem 23 votos, e MARS tem 13 votos . ## Twofish: Desenhado por Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, e Niels Ferguson, publicado em 1998. Ele utiliza uma chave de 256 bits e blocos de 128 bits e opera em modo XTS (ver seção Modos de Operação). Twofish foi um dos finalistas da AES. Esta cifra utiliza a chave dependentes de S-boxes. Twofish pode ser vista como um conjunto de diferentes sistemas de encriptação 2128, onde 128 bits a partir de um derivado de 256-bit de controlo de chave a selecção do sistema de criptografia. Em, a equipe Twofish afirma que a chave dependentes de S-boxes constituem uma forma de margem de segurança contra ataques desconhecidos. ## RIPMD-160: RIPEMD-160, publicado em 1996, é um algoritmo de hash desenhado por Hans Dobbertin, Antoon Bosselaers e Bart Preneel em uma comunidade acadêmica aberta. O tamanho da saída de RIPEMD-160 é de 160 bits. RIPEMD-160 é uma versão reforçada do algoritmo de hash RIPEMD que foi desenvolvido no âmbito do projeto RIPE da União Europeia (RACE Integrity Primitives Evaluation), 1988-1992. RIPEMD-160 foi adotada pela Organização Internacional de Normalização (ISO) e da IEC 10118-3:2004 na norma internacional ISO / IEC ## SHA-512: SHA-512 é um algoritmo de hash projetado pela NSA e publicado pelo NIST em FIPS PUB 180-2 [14], em 2002 (a primeira versão foi publicada em 2001). O tamanho da saída deste algoritmo é de 512 bits. ## Whirlpoor: O algoritmo de hash Whirlpool foi desenhado por Vincent Rijmen (co-criador do algoritmo de criptografia AES) e Paulo SLM Barreto. O tamanho da saída deste algoritmo é de 512 bits. A primeira versão da Whirlpool, agora chamada Whirlpool-0, foi publicado em novembro de 2000. A segunda versão, agora chamada Whirlpool-T, foi selecionado para o NESSIE (novos esquemas europeu para as assinaturas, integridade e criptografia) carteira de primitivas criptográficas (um projecto organizado pela União Europeia, similar à competição AES). TrueCrypt usa a terceira versão (final) da Whirlpool, que foi aprovada pela Organização Internacional de Normalização (ISO) e da IEC 10118-3:2004 na norma internacional ISO / IEC. --> Existem mesclagem de criptografia com o intuito de fortalecer o método de cifragem dos dados a serem protegidos,as criptografias que foram criadas pela mesclagem de criptografia são: ## AES- Twofish: Duas cifras em uma cascata operando em modo XTS . Cada bloco de 128 bits é o primeiro encriptado com Twofish ( chave de 256 bits ) no modo XTS e depois com AES ( chave de 256 bits ) no modo XTS . Cada uma das cifras cascata usa sua própria chave. Todas as chaves de criptografia são independentes entre si (note que as chaves do cabeçalho são independentes demais , mesmo que eles são derivados de uma única senha - ver Derivação Header chave , Salt , e contagem de iteração ) . Veja acima para obter informações sobre as cifras em cascata individuais. ## AES-Twofish-Serpent: Três cifras em uma cascata operando em modo XTS . Cada bloco de 128 bits é o primeiro encriptado com Serpent ( chave de 256 bits ) no modo XTS , depois com Twofish ( chave de 256 bits ) no modo XTS , e finalmente com AES ( chave de 256 bits ) no modo XTS . Cada uma das cifras cascata usa sua própria chave. Todas as chaves de criptografia são independentes entre si (note que as chaves do cabeçalho são independentes demais , mesmo que eles são derivados de uma única senha - consulte a seção Derivação Header chave , Salt , e contagem de iteração ) . Veja acima para obter informações sobre as cifras em cascata individuais. ## Serpent -AES: Duas cifras em uma cascata operando em modo XTS . Cada bloco de 128 bits é o primeiro criptografado com AES ( chave de 256 bits ) no modo XTS e depois com Serpent ( chave de 256 bits ) no modo XTS . Cada uma das cifras cascata usa sua própria chave. Todas as chaves de criptografia são independentes entre si (note que as chaves do cabeçalho são independentes demais , mesmo que eles são derivados de uma única senha - consulte a seção Derivação Header chave , Salt , e contagem de iteração ) . Veja acima para obter informações sobre as cifras em cascata individuais. ## Serpent-Twofish-AES: Três cifras em uma cascata operando em modo XTS . Cada bloco de 128 bits é o primeiro criptografado com AES ( chave de 256 bits ) no modo XTS , depois com Twofish ( chave de 256 bits ) no modo XTS e, finalmente, com a Serpente ( chave de 256 bits ) no modo XTS . Cada uma das cifras cascata usa sua própria chave. Todas as chaves de criptografia são independentes entre si (note que as chaves do cabeçalho são independentes demais , mesmo que eles são derivados de uma única senha - consulte a seção Derivação Header chave , Salt , e contagem de iteração ) . Veja acima para obter informações sobre as cifras em cascata individuais. ## Twofish-Serpent: Duas cifras em uma cascata operando em modo XTS . Cada bloco de 128 bits é o primeiro encriptado com Serpent ( chave de 256 bits ) no modo XTS e depois com Twofish ( chave de 256 bits ) no modo XTS . Cada uma das cifras cascata usa sua própria chave. Todas as chaves de criptografia são independentes entre si (note que as chaves do cabeçalho são independentes demais , mesmo que eles são derivados de uma única senha - consulte a seção Derivação Header chave , Salt , e contagem de iteração ). --> Então após ficar um poucos mais crítico noque diz respeito a padrões de criptografia vamos criar primeiro uma arquivo oculto criptografado no truecrypt.Mas,primeiro devemos baixá-lo no site do desenvolvedor >> http://www.truecrypt.org/downloads O truecrypt possue suporte para os seguintes sistemas operacionais: # Windows # IOS/Mac # Linux Após baixar esta ferramenta instale normalmente,então vamos a primeira etapa para criar um arquivo oculto criptografado: 1- Abra o truecrypt. 2- Irá abrir a interface do truecrypt que é muito fácil de mecher pois é em GUI (interface gráfica) muito amigável ao usuário. 3- Clique em "Create volume" e selecione "Create an encrypted file container" 4- Selecione o opção que você quiser "Standard TrueCrypt volume" para arquivo não oculto e "Hidden TrueCrypt volume" para criar arquivo oculto,eu recomendo a segunda opção. 5- Deixa selecionado a opção de "Never save History" e após isto clique em "Select File" após isto selecione o nome em que você em que você quer e clique em Next. 6- Com base em nossos estudos de criptografia acima VOcês devem escolher o "Encryption Algorithm" e o "Hash Algorithm" e clique em Next 7- Selecione o tamanho que você quer que o seu arquivo armazene,exemplo: se você selecionar um arquivo de 50 gigabytes e o arquivo criptografado vai aramazenar cerca de 50 gigabytes de dados. 8- Selecione Next e depois Selecione a senha que deseja,eu recomendo usar uma senha grande e de difícil compreensão de ferramentas como brute force.Clique em Next. 9- Agora clique em "Format" e espere o processo acabar,quando acabar tudo feche a janela. Pronto você ja criou seu arquivo oculto (ou não,dependendo da escolha) encriptado.Agora vamos acessar este arquivo para armazenar meus dados críticos como senhas de bancos,ou logins. 1- abra o truecrypt em sua interface inicial. 2- Clique em "Select File" e selecione o arquivo que você criou. 3- Informe a senha e logo após informar aguarde um pouco que logo em seguida irá aparecer no seu desktop um link do arquivo para armazenamento de arquivos que você queira no seu arquivo encriptado. 4- se quiser navegar normalmente basta clicar em exit no truecrypt e cada vez que quiser armanezar o arquivo basta arrastar para o icone que estará no desktop. 5- Na hora que quiser criptografar denovo seu arquivo (recomendo sempre que guardar oque tiver que guardar,descriptografa-lo na mesma hora)Basta clicar no icone que estara minimizado no canto da sua tela onde fica os icones pequenos de aplicativos. 6- Irá aparecer novamente a interface do Truecrypt,então basta você clicar em "Dismount All" e logo em seguida clica em exit. 7- Pronto voce ja guardou seus dados em segurança e fechou o seu arquivo criptografado. 8- Lembrando,toda vez que quiser abrir o arquivo criptografado siga os passos citados acima (exceto o de criação hehehe). ======================================================================== 1.2 Aos Espertinhos,Se liga a PF bateu ai... FUDEU! - Destruindo dados. ======================================================================== Todos sabem que apenas clicar em apagar com a tecla "del" não destroe um arquivo de 2 gbs de pura database que voce acabou de baixar de um site importante em 10 segundos,então você faz isto e fica todo felizinho pois invadiu um site,baixou a database só esqueceu de deletar o logs mas então você pensa, - nem tem problema se me pegarem a database vai estar deletada e não terão provas contra mim. Caro amigo,de desculpe a expressão mas tu é burro. # Primeiro, que como se deleta um arquivo de 2gbs de pura informação que te encrimina em 10 segundos ? # Segundo,nunca deixe os logs para trás eles podem levar até você. Mas tudo bem os federais chegam na tua casa e você como acha que não terão provas contra você,pegam o seu computador e em 10 minutos com um tool que recupera informações,que afinal este tipo de ferramenta é muito utilizada pela análise forense.Existem divessos programas para recurperação de dados,uma simples busca no google nos leva a muitas tools.Por isto você tem que ter muito cuidado ao deletar informações cruciais que possam te encriminar,irei mostrar duas ferramentas que podem fazer o "trabalho sujo" para você: ## Wipe ## shred ========= 1.3 WIPE ========= O wipe é uma ferramenta feita em linha de comando que serve para desfigurar um arquivo cerca de 34 vezes substituindo tanto o seus caracteres internos quanto os caracteres do titulo fazendo este processo cerca de 34 vezes.Antes vamos baixá-lo,ele esta nos repositórios de rapido download do ubuntu como o apt-get,por isto para instalar esta ferramenta basta executar o comando: # apt-get install wipe Eu recomendo criar uma pasta chamada lixo e levar todas as informações importantes para lá logo após o final do dia (ou quando te der vontade) só você ir no terminal shell e digitar: # wipe -fr "nome da pasta" Segue abaixo algumas opções que podem ser encontradas usando o comando: wipe -h (OBS:Estão em Inglês) Options: -a Abort on error -b Set the size of the individual i/o buffers by specifying its logarithm in base 2. Up to 30 of these buffers might be allocated -c Do a chmod() on write-protected files -D Dereference symlinks (conflicts with -r) -e Use exact file size: do not round up file size to wipe possible junk remaining on the last block -f Force, i.e. don't ask for confirmation -F Do not attempt to wipe filenames -h Display this help -i Informative (verbose) mode -k Keep files, i.e. do not remove() them after overwriting -l Set wipe length to bytes, where is an integer followed by K (Kilo:1024), M (Mega:K^2) or G (Giga:K^3) -M (l|r) Set PRNG algorithm for filling blocks (and ordering passes) l Use libc's random() library call a Use arcfour encryption algorithm -o Set wipe offset to , where has the same format as -P Set number of passes for filename wiping. Default is 1. -Q set number of passes for quick wipe -q Quick wipe, less secure, 4 random passes by default -r Recurse into directories -- symlinks will not be followed -R Set random device (or random seed command with -S c) -S (r|c|p) Random seed method r Read from random device (strong) c Read from output of random seed command p Use pid(), clock() etc. (weakest) -s Silent mode -- suppresses all output -T Set maximum number of tries for free filename search; default is 10 -v Show version information -Z Do not attempt to wipe file size ========== 1.4 Shred ========== O shred é mesmo similar ao wipe so que como o wipe só faz o processo cerca de 34 vezes tanto em arquivos internos quanto externos o shred faz o processo quantas vezes você quiser ! Maravilhoso isto não ? Na verdade não é muito bom pois se um NOOB lammer fdp resolver fazer assim: - Ai meu deus invadi site da padaria vou formatar meu pc e destruir os dados do meu hd vou colocar pra fazer o processo 50 vezes pra ninguem pegar. Pois é cara,você vai desfigurar todos os dados do HD cerca de 50 vezes correto ? Na 15 vez que voce fizer isto o seu HD ja estará pegando fogo isto se deve pelo fato de que o cilindro é feito de um material muito sensível e de fácil combustão e para que haja desfiguração dos dados em todos o HD ele necessita girar por completo todos os seus cilindros a alta velocidade e ele so irá esquentando e esquentando ate pegar fogo. VOu parar de enrolar e então vai os comandos: Options: -n = numero de gravações -z = zera tudo zerado e não tem volta Outras opções em inglês: -f, --force change permissions to allow writing if necessary -n, --iterations=N overwrite N times instead of the default (3) --random-source=FILE get random bytes from FILE -s, --size=N shred this many bytes (suffixes like K, M, G accepted) -u, --remove truncate and remove file after overwriting -v, --verbose show progress -x, --exact do not round file sizes up to the next full block; this is the default for non-regular files -z, --zero add a final overwrite with zeros to hide shredding --help display this help and exit --version output version information and exit --> Comando para destruir a partição # shred -n 4 -z /dev/sda *Fique atento, se seu HD for IDE PRIMARY MASTER /dev/sda será/dev/hda ======================== 1.5 Clonagem de cookies ======================== Bom pessoal vamos para mais um tópico,agora irei dizer sobre clonagem de cookies.Você sabe oque são cookies ? São pequenos arquivos que ums site armazena em seu browser como comprovar que você quem acessou determinada pagina ou que você é o verdadeiro dono da conta.Não entendeu ? Exemplo: --> Você acessa sua conta de email no google e coloca em mantenha-me conectado,para o gmail certificar que sua identidade é verdadeira ele manda um cookie Primeiro você deve invadir uma rede wireless para que possa sniffar oque esta acontecendo,aconselho lugares publicos ou proximos a empresas que no sniffer você pode pegr muitos wireless com criptografia fraca e quebra-la rapidamente.Após invadir o wireless recomendo usar o sniffer wireshark que é em interface GUI ou seja é muito amigável apesar de ser bem completo tambem.Clonar um cookie é similar a clonar um MAC. Existem dois métodos de fazer a clonagem irei apresentas as duas mais a do wireshark é mais fácil,rápido e presciso. Primeiro método: A “clonagem” pode ser feita com addons de gerência de cookies como o “Advanced Cookie Manager“ nele você pode adicionar esta addon no seu browser para capturar os cookies que rodam em sockets (http) da rede. Segundo método: Ligue o wireshark na network wireless que foi invadida e logo depois você irá ver diversos pacotes que estão sendo solicitados e enviados para diversos servidores,estes diversos servidores armazenam cookies para pegar os cookie do gmail,yahoo,facebook,twitter e dentro outros ative o filtro do wireshark para filtrar somente pacote HTTP pois é por este meio (porta 80 ou 443) que os cookies são enviados,irá aparecer diversos pacotes procure em suas descrição relacionado a "cookie" assim que você pegar o link basta inseri-lo na sua url que logo você irá clonar o cookie e assumir a identidade da vítima que recebeu o cookie para certificação de autenticidade. ====================================================== 1.6 Identificando criptografia manualmente - HARDCORE ====================================================== Vamos começar listando as mais simples e as menos: Hashes mais conhecidas: MD5 MD4 MD2 sha1 sha256 sha384 sha512 LM NT base_64 rot_13 Hashes menos conhecidas: crc32 crc32b snefru gost adler32 ripemd128 ripemd160 tiger128, 3 tiger128, 4 tiger160, 3 haval128, 3 haval128, 4 haval 256, 3 whirlpool Dentre outras diversas... --> Métodos de reconhecimento manual ## MD5: Eles são sempre em 32 caracteres de comprimento de 128 bits. Eles são sempre em hexadecimal,utiliza apenas caracteres 0-9 e A-F ## SHA1: Eles são sempre em 40 caracteres de comprimento de 160 bits. Eles são sempre em hexadecimal,utiliza apenas caracteres 0-9 e A-F ## MySQL 4.1 Eles são sempre em 16 caracteres de comprimento de 64 bits Eles são sempre em hexadecimal,utiliza apenas caracteres 0-9 e A-F ## MySQL 5.0 Eles são sempre em 41 caracteres e iniciam sempre com asterísco * Eles são sempre em hexadecimal,utiliza apenas caracteres 0-9 e A-F ## MD5 (Wordpress) Eles são sempre em 32 caracteres e iniciam sempre com $P$ Eles são sempre em hexadecimal,utiliza apenas caracteres 0-9 e A-Z e a-z ## MD5 (phpbb3) - Usado em fóruns. Eles são sempre em 32 caracteres sempre começa com $H$ Eles são sempre em hexadecimal,utiliza apenas caracteres 0-9 e A-Z e a-z ========================= 1.7 Fim da Ezine ========================= Então galera chegamos no fim da ezine demorou mas terminou hehe , pode-se perceber que existem diversas tecnicas e todas estas tecnicas podem ser burladas ou corrigidas graças a evolução do conhecimento e das tecnologias na atualidade diversos orgãos estão sendo fundados para a fiscalização e prevenção de atos que são considerados delituosos.Mas graças ao crescente indice de integração tecnologica global as tecnicas de prevenção e segurança estao em seu ambito cibernético privatizadas a uma parcela da população que preza pela segurança e privacidade de suas informações que circulam pela I.net por isto devemos disseminar tecnicas que façam com que todos os usuários da I.net possam navegar a vontade com privacidade em suas buscas SEM QUE A PORRA DOS USA FIQUE SABENDO QUE TU VE XVIDEOS entao galera beijokas e esperamos que tenham entendido o que tentamos passar a vcs , t+ Dicas , agradecimentos , sugestões , criticas e qualquer outra porra --> cyberhats@post.com